VMware NSX-T 旨在处理具有异构端点和技术堆栈的新兴应用程序框架和架构。除了 vSphere 外,这些环境还可能包括其他 Hypervisor、容器、裸机和公有云。
VMware Aria Operations for Networks 支持虚拟机由 VMware vCenter 管理的 VMware NSX-T 部署。
注意事项
- VMware Aria Operations for Networks 仅支持 VMware vCenter 管理 ESXi 主机的 NSX-T 设置。
- VMware Aria Operations for Networks 支持 NS 组、NSX-T 防火墙规则、IPSet、NSX-T 逻辑端口、NSX-T 逻辑交换机和 NSX-T 分布式防火墙 IPFIX 流、分段、组以及基于策略的 VPN。
- VMware Aria Operations for Networks 支持 NSX-V 和 NSX-T 部署。在查询中使用 NSX 时,结果将包括 NSX-V 和 NSX-T 实体。NSX Manager 会列出 NSX-V Manager 和 NSX-T Manager。NSX 安全组会列出 NSX-T 和 NSX-V 安全组。如果使用 NSX-V 或 NSX-T 而不是 NSX,则仅显示这些实体。此逻辑同样适用于防火墙规则、IPSet 和逻辑交换机等实体。
- 通过使用 NSX-T 2.4 版本,VMware Aria Operations for Networks 支持 NSX 声明性策略管理,从而通过结果驱动的策略声明简化并自动化网络和安全配置。
注: 安全组的微分段基于 NSX 策略数据完成。但是,如果没有相应的 NSX 策略组,独立 NS 组将包含在微分段分析中。有关 NS 组的更多详细信息,请参见 NSX-T 产品文档。
- 确保在 NSX-T 联合设置中只添加本地用户。
必备条件
以下是将 NSX-T Manager 添加为数据源的必备条件:
- 必须至少具有只读特权。
- 必须在 VMware Aria Operations for Networks 中将与 NSX-T Manager 关联的所有 VMware vCenter 都添加为数据源。
注: 如果在添加 VMware vCenter 之前先添加 NSX-T Manager,则 VMware Aria Operations for Networks 大约需要 4 小时才能稳定下来。
- 确保在分布式防火墙 (DFW) 的排除列表中没有逻辑交换机。如果此列表中有任何逻辑交换机,则不会报告连接到这些逻辑交换机的任何虚拟机的流。
过程
- 转到。
- 在 VMware Manager 下,选择 VMware NSX-T Manager。
- 提供用户凭据。
选项 操作 收集器虚拟机 从下拉菜单中选择一个收集器虚拟机。 IP 地址/FQDN 输入 IPv4 管理地址或 FQDN 详细信息。 注: 目前, VMware Aria Operations for Networks 不支持 IPv6 NSX-T 管理地址。身份验证方法 从下拉菜单中选择身份验证方法。 用户名/密码 输入用户名和密码。 证书 (主体身份) - 证书:单击浏览,然后上载主体身份证书。
- 私钥:单击浏览,然后上载主体身份私钥。
注: VMware Aria Operations for Networks 不支持加密的主体身份私钥。
注:- 如果在一个 NSX-T 部署中有多个管理节点,则只能在 VMware Aria Operations for Networks 中将一个节点添加为数据源,或者使用这些节点的虚拟 IP (VIP)。如果添加多个管理节点,则 VMware Aria Operations for Networks 可能无法正常运行。
- 确保在将 NSX-T 添加为数据源时使用 VIP。如果您添加管理节点 IP 而不是 VIP,并且稍后您要添加 VIP 或另一个管理节点 IP,则必须删除现有数据源才能添加新的 VIP 或管理 IP。
- 确保可从收集器访问集群中的每个管理节点。
- 如果不需要 IPFIX,则用户必须是具有审核级别权限的本地用户。但是,如果需要 IPFIX,则用户必须具有以下权限之一:企业管理员、网络工程师或安全工程师。
注: 您必须使用 IP 地址或 FQDN 添加数据源。请勿同时使用 IP 地址和 FQDN 添加数据源。 - 单击验证。
- (可选) 选择启用 DFW IPFIX 以更新 NSX-T 上的 IPFIX 设置。选择此选项后,VMware Aria Operations for Networks 会接收来自 NSX-T 的 DFW IPFIX 流。有关启用 IPFIX 的详细信息,请参见启用 VMware NSX-T DFW IPFIX。
注:
- DFW IPFIX 在 NSX-T 的标准版本中不受支持。
- VMware Aria Operations for Networks 不支持 NSX-T 交换机 IPFIX 流。
- (可选) 如果要收集延迟衡量指标数据,则选中启用延迟衡量指标收集复选框。如果选中此选项,VMware Aria Operations for Networks 将接收来自 NSX-T 的延迟衡量指标,如 VTEP - VTEP、vNIC - pNIC、pNIC - vNIC、vNIC - vNIC。有关网络延迟的详细信息,请参见网络延迟统计信息。
注:
- 此选项仅适用于 NSX-T 2.5 及更高版本。
- VTEP - VTEP 可从 NSX-T 2.5 及更高版本中获得。
- vNIC - pNIC、pNIC - vNIC、vNIC - vNIC 可从 NSX-T 3.0.2 及更高版本中获得。
- 要启用延迟衡量指标收集,您必须具有企业管理员权限。
- 确保在收集器上打开端口 1991,以接收来自 ESXi 节点的延迟数据。
- 此选项仅适用于 NSX-T 2.5 及更高版本。
- (可选) 要启用从 NSX Intelligence 收集流,请选中启用 NSX Intelligence 复选框。
NSX Intelligence 提供应用程序层可见性,从而可深入检查数据包。接收来自 NSX Intelligence 的流后,可以查看 L7(应用程序层)信息,如应用程序 ID。
注: 要在 VMware Aria Operations for Networks 中启用 NSX Intelligence,必须部署 NSX Intelligence 设备。 VMware Aria Operations for Networks 支持 NSX Intelligence 1.2 与 VMware NSX-T 3.1 及更高版本配合使用。NSX Intelligence 需要至少 12 分钟才能完成处理流信息并将其发送到 VMware Aria Operations for Networks。
注: 要启用从 NSX Intelligence 收集流,必须选中 启用 DFW IPFIX 复选框,因为 VMware Aria Operations for Networks 使用 DFW IPFIX 作为流的主要源。L7 信息不可用于丢弃的流,因为不受 NSX Intelligence 支持。
- 在“昵称”文本框中,输入昵称。
- 在“备注 (可选)”文本框中,根据需要添加备注。
- 单击提交。
查询示例
以下是一些与 NSX-T 相关的查询示例:
| 查询 | 搜索结果 |
|---|---|
| NSX-T Manager where VC Manager=10.197.53.214 | 此特定 VC Manager 已添加为计算管理器的 NSX-T Manager。 |
| NSX-T Logical Switch | 列出 VMware Aria Operations for Networks 实例中存在的所有 NSX-T 逻辑交换机。包括交换机是系统创建还是用户创建的相关详细信息。 |
| NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' | 列出属于该特定 NSX-T 逻辑交换机 DB-Switch 的 NSX-T 逻辑端口。 |
| VMs where NSX-T Security Group = 'Application-Group' 或 VMs where NSGroup = ‘Application-Group’ |
列出该特定安全组 Application-Group 中的所有虚拟机。 |
| NSX-T Firewall Rule where Action='ALLOW' | 列出其操作设置为 ALLOW 的所有 NSX-T 防火墙规则。 |
| NSX-T Firewall Rule where Destination Security Group = ‘CRM-Group’ | 列出 CRM-Group 是目标安全组的防火墙规则。结果包括直接目标安全组和间接目标安全组。 |
| NSX-T Firewall Rule where Direct Destination Security Group = ‘CRM-Group’ | 列出 CRM-Group 是目标安全组的防火墙规则。结果仅包括直接目标安全组。 |
| VMs where NSX-T Logical Port = ‘App_Port-Id-1’ | 列出具有该特定 NSX-T 逻辑端口的所有虚拟机。 |
| NSX-T Transport Zone | 列出 VLAN 和覆盖网络传输区域以及与其关联的相应详细信息(包括传输节点的类型)。
注:
VMware Aria Operations for Networks 不支持将 KVM 作为数据源。
|
| NSX-T Router | 列出 TIER 1 和 TIER 0 路由器。单击结果中显示的路由器可查看与其关联的更多详细信息,包括 NSX-T Edge 集群和 HA 模式。 |
| NSX Policy Segment | 列出 VMware Aria Operations for Networks 实例中存在的所有 NSX 策略分段。 |
| NSX Policy Manager | 列出 VMware Aria Operations for Networks 实例中存在的所有 NSX Policy Manager。 |
| NSX Policy Group | 列出 VMware Aria Operations for Networks 实例中存在的所有 NSX 策略组。 |
| NSX Policy Firewall | 列出 VMware Aria Operations for Networks 实例中存在的所有 NSX 策略防火墙。 |
| NSX Policy Firewall Rule | 列出 VMware Aria Operations for Networks 实例中存在的所有 NSX 策略防火墙规则。 |
| NSX Policy Firewall Rule where Action = 'ALLOW' | 列出操作设置为 ALLOW 的所有 NSX 策略防火墙规则。 |
| NSX Policy Based VPN | 列出 VMware Aria Operations for Networks 实例中存在的所有基于 NSX 策略的 VPN。 |
注: 如果将 NSX-T 2.4 和
VMware Cloud on AWS 添加为
VMware Aria Operations for Networks 中的数据源,那么要获取
VMware NSX-T 实体,您必须在查询中添加
SDDC type = ONPREM 筛选器。例如,
NSX Policy Based VPN where Tier0 = ‘’ and SDDC Type = ‘ONPREM’。
支持 NSX-T 衡量指标
下表显示了当前支持 NSX-T 衡量指标的
VMware Aria Operations for Networks 实体,以及在相应实体仪表板上显示这些衡量指标的小组件。
| 实体 | 实体仪表板上的小组件 | 支持的 NSX-T 衡量指标 |
|---|---|---|
| 逻辑交换机 | 逻辑交换机数据包衡量指标 逻辑交换机字节衡量指标 |
|
| 逻辑端口 | 逻辑端口数据包衡量指标 逻辑端口字节衡量指标 |
|
| 路由器接口 | 路由器接口衡量指标 |
|
| 防火墙规则 | 防火墙规则衡量指标 |
|
以下是一些有关
VMware NSX-T 衡量指标的查询示例:
nsx-t logical switch where Rx Packet Drops > 0此查询列出丢弃的已接收数据包计数大于 0 的所有逻辑交换机。
nsx-t logical port where Tx Packet Drops > 0此查询列出丢弃的已传输数据包计数大于 0 的所有逻辑端口。
top 10 nsx-t firewall rules order by Connection count此查询基于连接计数 (
Hit Count) 列出前 10 个防火墙规则。
NSX-T 的安全规划
要规划 NSX-T 网络的安全性,可以选择
NSX-T Layer2 网络作为范围,并使用以下查询:
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’通过执行以下步骤也可以获取相同的结果:
- 从左侧导航窗格中,选择。
- 从下拉菜单中选择NSX-T L2 网络或 NSX 策略分段作为范围。
注: 范围中提供了
VMware NSX-T 相关实体,如
NSX-T L2 网络和
NSX 策略分段。您可以使用这些与
VMware NSX-T 相关的实体进行安全规划。
